Yazılar

KVKK Teknik Tedbirler: Log Kayıtları ve Erişim Logları

Reklam

Bir önceki yazımızda 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamınca KVKK kurulu tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’ndeki teknik tedbirlerden olan, Yetki Kontrol ve Kullanıcı Hesap Yönetimi konularından bahsetmiştim. Kısa örneklerle ne gibi teknolojik çözümlerden yararlanılabileceğine değinmiştik.

Yine bu yazımızda da Kişisel Veri Güvenliği Rehberi’ndeki Teknik Tedbirler tablosunda yer alan Log Kayıtları ve Erişim Logları konularının ne anlama geldiğini ve kurumların bu maddelere yönelik ne gibi teknolojik çözümlerden yararlanılabileceğine bahsetmeye devam edelim.

Her zamanki gibi Kişisel Veri Güvenliği Rehberi’nde yayınlanan Teknik Tedbirler tablosunu tekrar bir hatırlayalım.

KVKK Teknik Tedbirler

Log Kayıtları

Öncelikle “Log” nedir ve işletmeler neden Log tutmalıdır? Gelin öncelikle bu sistemi kısaca anlamaya çalışalım.

Log Nedir

İngilizce bir kelime olan Log, “kayıt” anlamına gelmektedir. Belirli bir sistemle ilgili olayların otomatik olarak üretilmesi ve zaman damgalı olarak belgelendirilmesidir. Loglamak yani kayıt tutmak ise, bu üretilen dijital kayıtların saklanması anlamına gelmektedir.

Loglamak

Mesela basit bir örnek vermek gerekirse, diyelim ki çalıştığınız kurumda bir güvenlik duvarı var, bu sayede internete erişim sağlıyorsunuz. Siz bir haber sitesine girdiğinizde, işte o güvenlik duvarı sizin hangi tarihte, hangi saatte, hangi IP adresi ile hangi web sitesine girdiğinizi kaydediyor, yani logunuzu (kayıtlarınızı) tutuyor. Bu arada log tutmak yalnızca güvenlik duvarı ile ilgili bir konu değil, birçok yazılımlar, donanımlar vb. sistemler kendi sistemlerince kayıt tutarlar.

Peki KVKK veri sorumlularından yerine getirilmesini istediği tedbir nedir?

Kurul’un yayınladığı rehberde, tüm kullanıcıların işlem hareket kaydının düzenli olarak tutulması gerekliliğinden bahsedilmiş. Aslında KVKK yasasından önce, bu gereklilik işletmeler için 2007 yılında yürürlüğe giren 5651 sayılı kanun (İnternet Ortamında Yapılan Yayınların Düzenlemesine Dair Usul ve Esaslar Hakkındaki Yönetmelik Kanunu) ile zorunlu hale getirilmişti. İşletmeler hali hazırda KVKK yasasından bağımsız olarak zaten bu 5651 sayılı kanun gereği kullanıcıların işlem hareket kayıtlarının tutulmasından sorumludurlar.

5651 Sayılı Kanun

5651 sayılı kanun gereğince Telekomünikasyon İletişim Başkanlığı yönetmelikleri gereği her işletme, bu erişim kayıtlarını tutmanın yanı sıra aynı zamanda bu kayıtların doğruluğunu, bütünlüğünü zaman damgası (hash) ile birlikte günlük olarak iki yıl süre ile saklamak ile yükümlüdür.

Neden İşletmeler Log Tutmalıdır?

Öncelikli olarak bunun yasa gereği bir zorunluluk olduğunu tekrar belirtelim. İnternet üzerinden işlenen suçların tespiti amacı ile çıkarılan bu kanunun gereği, diyelim ki bir kişi sizin kurumunuzun internet ağını kullanarak herhangi bir suç unsuru teşkil edebilecek bir içerik paylaşımı yaptı. İşte burada bu kişinin tespiti için yetkili resmi kurumlar size geldiklerinde, eğer log kaydınız yok ise işletme yani siz bu suçtan sorumlu olursunuz. Eğer log kaydını tutuyor iseniz, bu kaydı yetkili kişilere beyan ederek işletmenizin sorumluğunu ortadan kaldırırsınız. Eğer ki bu kanun maddesini yerine getirmiyor iseniz; uyarı, para cezası, hapis, kapatma ve yayından kaldırma şeklinde birtakım kanuni yaptırımlara karşı karşıya kalırsınız.

Peki bunu sağlamaya çalışırken nasıl bir teknolojik çözümden yararlanabiliriz?

İnternet trafiğinizin kayıtlarını tutmalı ve gizlilik çerçevesinde 5651 kanununa uygun formatta (zaman damgalı) muhafaza etmelisiniz. Bu kayıtları genel tabirle Syslog adını verdiğimiz yazılımlar (logları üzerinde depolayan, raporlayan ve analiz eden) üzerinde tutup, muhafaza edebilirsiniz. Genelde 5651 formatına uygun olarak tutan yazılımlar ücretli oluyor. Ücretsiz olup ta sizin manuel olarak 5651 formatına uygun bir şekilde log tutmanızı sağlayan yazılımlar da mevcuttur. İnternette bu konu ile ilgili kısa bir araştırma ile çözüm sağlayabilirsiniz.

Erişim Logları

Rehber’de veri sorumlularının sistemleri çoğunlukla içeriden veya dışarıdan gelen saldırılara, kötü amaçlı yazılımlara veya kullanımlara maruz kalan sistemler üzerindeki olayları uzun süre fark edememesinden veya müdahale için geç kalabildiğinden bahsedilmiş.

Yani sistemlerinize bir siber saldırı oluyor olabilir, sistemleriniz kötüye kullanılıyor olabilir, sunucunuzda bir servis durmuş olabilir ve siz bunu fark edemiyor olabilirsiniz ya da müdahale için geç kalmış olabilirsiniz. Bu durumun önüne geçebilmek için ağınızdaki tüm sistemler üzerindeki hareketleri, olayları düzenli olarak kontrol etmeli, bu sistemlerden gelen uyarılar üzerine harekete geçip ilgili aksiyonları almalısınız.

Peki bu kadar sistemi nasıl kontrol edeceğiz?

Yukarıda ne demiştik, tüm sistemler kendi içlerinde log tutabilirler. Güvenlik duvarları, sunucular, Switch’ler, kurmuş olduğunuz yazılımlar vb. aslında her biri kendi içerisinde log tutarlar. Siz bu logları analiz ederek oluşan hataları, varsa saldırı girişimlerini, durmuş bir servisi görebilir ve düzeltebilirsiniz.

Fakat” dediğinizi duyar gibiyim : ) “Bu kadar sistemi nasıl takip edeceğiz?“, “Nasıl analiz edeceğiz?

İşte bunları yapmanızı sağlayacak teknolojik çözümün adı: SIEM (Security Information and Event Management)

SIEM (Güvenlik Bildirimi ve Olay Yönetimi) Nedir?

SIEM, kabaca anlatmak gerekirse tüm donanımlardan veya yazılımlardan onların ürettikleri logları toplar ve sizin anlayacağınız formatta düzenleyip size raporlar. Tüm sistemlerdeki hareketleri merkezi bir yerden analiz edebilirsiniz. Hatta analizle kalmayıp, belirli politikalar oluşturarak o sistemlere aksiyon aldırabilirsiniz.

SIEM Nedir

Hemen örnekleyelim;

Mesela güvenlik duvarınıza dışarıdan biri login olmaya çalışıyor. 5 defa, 10 defa deniyor. Güvenlik duvarınız haliyle bununla ilgili bir log üretiyor ve SIEM’e yolluyor. SIEM’de size bunu dilerseniz mail yoluyla hemen bildiriyor. Dilerseniz de SIEM’de yazacağınız bir kural ile güvenlik duvarına aksiyon aldırtabiliyorsunuz. Yazacağınız kuralla güvenlik duvarına, sana aynı IP adresi üzerinden 5 defadan fazla login olmaya çalışan olursa o IP adresini banla şeklinde aksiyon aldırtıp olaya müdahale ettirtebilirsiniz. Böylelikle siz bir müdahale de bulunmadan SIEM olayları takip edip, davranışları analiz ederek olaylara müdahale edebiliyor.

Yine başka bir örnek; File Server’ınız da bulunan MUHASEBE adlı klasöre yazma yetkisi bulunmayan bir kullanıcı 60 saniyede 5 kez deneme yaparsa alarm ürettirerek birim yöneticisine mail attırabilirsiniz. Yani kullanıcıların işlem hareketlerini kayıt altında tutabilirsiniz ki bu kurul tarafından rehberde belirtilmiş.

Dışarıdan yerel ağınıza sızma girişimlerimin hareketlerini görebilir ve alarm ürettirebilirsiniz.

Kısacası tüm sistemlerden topladığınız logları analiz ederek, sistemlerin davranışlarını takip eder ve size raporlar sunar.

Böylelikle bir yazımızın daha sonuna gelmiş bulunmaktayız. Kısaca “Erişim Logları ve Log Kayıtları” teknik tedbirlerinden bahsetmeye çalıştım. Gelecek hafta “Ağ Güvenliği ve Uygulama Güvenliği” konularına değinerek yazılarımıza devam edeceğiz.

Reklam
Etiketler
erişim logları kvkk log kayıtları nevzat çelik teknik tedbirler

Nevzat Çelik

Abant İzzet Baysal Üniversitesi Fizik Bölümü'nden mezun olduktan sonra sistem ve ağ çözümleri danışmanı olarak bilişim sektöründe çalışmaya başladı. Yaklaşık 10 yıldır teknik anlamda saha tecrübesine sahip olmakla birlikte bir çok ağ ve veri güvenliği projelerinde görev aldı. Solid Bilişim Teknolojileri'nde ağ çözümleri danışmanı olarak iş hayatını sürdürmeye devam etmektedir.

Kim ne demiş?

avatar
  Takibe al  
Bildir
Başa dön tuşu
Kapalı
X